Технологія робочих папок (Work Folders) Дозволяє організувати віддалений доступ користувачів до своїх файлів на внутрішньому файловому сервері компанії і працювати з ними в офлайн режимі з будь-якого пристрою (ноутбук, планшет або смартфон). При наступному підключення до мережі всі зміни в файлах на пристрої користувача синхронізуються з корпоративним файловим сервером. У цій статті ми покажемо, як встановити та налаштувати функціонал Work Folders на базі файлового сервера Windows Server 2016 і клієнта з Windows 10 .
Як сховище файлів може використовуватися файловий сервер з Windows Server 2012 R2, як клієнтів все версії Windows, починаючи з Windows 7, а також пристрої з Android 4.4 або iOS 8 і вище (клієнт Work Folders для цих пристроїв доступний в Google Play і App Store відповідно). За допомогою політик безпеки можна вимагати від клієнтів Work Folders обов'язкове зберігання вмісту робочих папок в зашифрованому вигляді, що гарантує захист даних навіть у разі втрати / крадіжки пристрою.
зміст:
- Установка і настройка ролі Work Folders в Windows Server 2016
- Налаштування клієнта Work Folders
- Налаштування клієнта Work Folders груповими політиками Windows
- Помилка синхронізації Work Folders 0x80c80317
- висновок
Установка і настройка ролі Work Folders в Windows Server 2016
Роль Work Folders в Windows Server 2016 можна встановити з графічного інтерфейсу Server Manager або за допомогою PowerShell.
У першому випадку потрібно в Server Manager всередині ролі File and Storage Services вибрати службу Work Folders (До установки будуть автоматично додані необхідні компоненти IIS Hostable Web Core).
Установка ролі Work Folders за допомогою PowerShell виконується такою командою:
Install-WindowsFeature FS-SyncShareService, Web-WHC
Для надання доступу до робочих папках в Active Directory потрібно створити групи безпеки, в які потрібно включити користувачів, яким буде дозволено синхронізувати свої пристрої з робочими папками на файловому сервері (для швидшої роботи служби Work Folders за рахунок зменшення кількості запитів до AD, Microsoft рекомендує поміщати в дані групи тільки облікові записи користувачів, але не інші групи безпеки).
Наступний етап - створення на файловому сервері мережевих каталогів, з якими будуть синхронізуватися користувачі. Ці каталоги можна створити з консолі Server Manager або PowerShell.
Відкрийте Server Manager, виберіть роль File and Storage Services -> Work Folders. Виберіть меню Tasks -> New Sync Share.
Далі потрібно вказати каталог, до якого буде надаватися доступ. У нашому прикладі це папка C: \ finance.
Далі потрібно вибрати яка структура користувальницьких папок буде використовуватися. Папки можуть називатися по облікового запису користувача (alias), або в форматі user @ domain.
Потім вказується ім'я кулі.
Далі потрібно вказати групи доступу, яким потрібно надати доступ до даного каталогу.
Далі вказуються політики безпеки робочих папок, які повинні застосовуватися на клієнті. Є дві політики:
- Encrypt Work Folders - обов'язкове шифрування даних в каталозі Work Folder на клієнті за допомогою BitLocker
- Automatically lock screen and require a password- автоматичне блокування екрану через 15 хвилин неактивності пристрою і захист його паролем (не менше 6 символів)
На цьому настройка нової робочої папки закінчена.
Ті ж самі дії зі створення нової папки синхронізації можна виконати за допомогою командлета New-SyncShare. Наприклад, наступна команда створить нову папку синхронізації і надасть доступ до неї групі
New-SyncShare "Sales" C: \ sales -User "Sales_Users_Remote_WorkFolder"
Для доступу до робочих файлів по захищеному протоколу HTTPS, до веб сайту IIS, який обслуговує роботу папок Work Folder потрібно прив'язати валідний SSL сертифікат.
Примітка. У тестовій конфігурації сертифікат використовувати не обов'язково, вимога наявності сертифікату на клієнті можна ігнорувати. Див. Команду нижче.Найпростіше скористатися безкоштовним SSL сертифікатом від Let's Encrypt. Процес випуску і прив'язки такого сертифіката в IIS описаний в статті Сертифікат Let's Encrypt для Windows (IIS).
Порада. Для підключення зовнішніх клієнтів до сервера Work Folder для доступу і синхронізації файлів, потрібно відповідним чином налаштувати DNS ім'я сервера у зовнішній зоні, а також на межсетевом екрані дозволити трафік до сервера по портам 80 і / або 443 TCP. Крім того, для більш комплексного захисту можна організувати доступ через сервер Web Application Proxy.Налаштування клієнта Work Folders
В даному прикладі в якості клієнта Work Folders використовується пристрій з Windows 10. Налаштування проводиться через наявний аплет в панелі управління Control Panel -> System and Security -> Work Folders (Цей пункт відсутній в серверних редакціях).
Щоб приступити до налаштування, натисніть кнопку Set up Work Folders.
Далі потрібно вказати Email користувача або URL адресу сервера Work Folders.
За замовчуванням, клієнт підключається до сервера по захищеному HTTPS протоколу. У тестовій середовищі цю вимогу можна скасувати, виконавши на клієнті команду:
Reg add HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WorkFolders / v AllowUnsecureConnection / t REG_DWORD / d 1
Для доступу до даних потрібно авторизуватися і підтвердити згоду з політиками безпеки, які будуть застосовані до клієнта.
На Windows клієнтів робочі файли за замовчуванням зберігаються в профілі користувача в каталозі % USERPROFILE% \ Work Folders і їх розмір не може перевищувати 10 Гб.
Після підключення клієнта до сервера, створюється каталог Work Folders. Якщо файли в робочих папках не змінилися, клієнт кожні 10 хвилин синхронізується з файловим сервером. Синхронізація змінених файлів виконує відразу. Крім того, при наявності змін сервер автоматично оповіщає інші клієнти про необхідність оновити свої дані з центрального сервера (таким чином, зміни повинні максимально швидко з'явитися на всіх підключених пристроях).
Статус синхронізації, наявність помилок, розмір вільного місця на сервері можна подивитися в тому ж елементі панелі управління.
Щоб перевірити роботу синхронізації створіть в папці Work Folders новий каталог, а потім в контекстному меню виберіть пункт Sync now.
Через деякий час цей каталог повинен з'явиться на сервері.
Налаштування клієнта Work Folders груповими політиками Windows
Для автоматичної настройки Work Folders можна використовувати дві спеціалізовані групові політики в розділі User Configuration -> Policies -> Administrative Templates -> Windows Components -> WorkFolders:
- Specify Work Folders Settings - в ній можна вказати URL адреса сервера Work Folders
- Force automatic setup for all users - ініціює автоматичне налаштування клінетов
Помилка синхронізації Work Folders 0x80c80317
У тествой конфігурації столкулся з тим, що при синхронізації файлів на клієнті виникає помилка:
There was a problem, but sync will try again (0x80c80317)
У балці сервера при цьому містяться такі записи:
The Windows Sync Share service failed to setup a new sync partnership with a device. Database: \\? \ C: \ users \ SyncShareState \ WorkFolders \ Metadata; User folder name: \\? \ C: \ Finance \ WORKFOLDERS_ROOT \ USER.TEST; Error code: (0x8e5e0408) Unable to read from or write to the database.Дані помилки свідчать про наявність проблеми в механізмі синхронізації. В цьому випадку для користувача потрібно виконати команди
Repair-SyncShare -name Finance -user Domain \ user1
Get-SyncUserStatus -syncshare Finance -user Domain \ user1
Як правило, це вирішує проблему поламаною синхронізації.
висновок
Отже, ми розглянули, як налаштувати і користуватися функцією Work Folders в Windows Server 2016. Дана технологія дозволяє користувачам віддалено працювати з корпоративними файлами практично на будь-якому пристрої, причому можна забезпечити адекватний рівень захисту даних від компрометації за допомогою шифрування на стороні клієнтського пристрою. Звичайно, цьому рішенню далеко до зручності і гнучкості хмарних сховищ Dropbox або OneDrive, але тут головний аспект полягає в простоті настройки і зберіганні дані всередині компанії, а не в сторонньому хмарі. Додатково з Work Folders можна використовувати такі технології, як можливість управління квотами і типами файлів за допомогою FSRM, підтримка файлових кластерів, управління доступом до даних за допомогою Dynamic Access Control і File Classification Infrastructure.
